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® Dlsposltlf de mlse en oeuvre d'un systdme d'dchange s6curls6 de donnges du genre RSA limits a 
la signature numdrlque et la verification des messages. 

® Un dispositif selon Tinvention comporte des premiers moyens de mise en oeuvre jd'un systfcme d^change 
sdcurisS de donn§es du genre RSA pour signer des messages et verifier des messages sign§s, et des seconds 
moyens pour inhiber les fonctions de chiffrement et de d£chiffrement propres a de tels syst&mes, de fagon a 
n'autoriser que tes fonctions de signature et de d'authentification de signature et de cl£s publiques. 

Application, en outre, aux reseaux nationaux civiles bas£s sur la technologie carte a puce: EDI, systemes 
bancaires, syst&mes de sant4, porte monnaie Slectronique... 
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L'invention concerns un dispositif permettant de mettre en oeuvre, conform6ment k un systeme 
d'Schange s£curise* de donnSes du genre RSA des fonctions de signature de messages et d'authentification 
de signature pour des messages signed. 

Elle a d'importantes applications dans le domaine des communications cryptographiques, et tout 
5 particulierement pour les cartes k puces. 

Le systeme RSA d'echange sScurise* de donn^es a 6x6 d£crit dans le brevet ameVicain n # 4405829 de 
Rivest, Shamir et Adleman en 1978. II repose sur la difficult^ de factoriser un grand nombre "n" qui est le 
produit de deux nombres premiers "p" et "q". Dans ce systeme. le message k traiter est mis sous la forme 
d'une chaTne de nombres s6pare*s en blocs de longueur fixe infeVieure k "n". Chaque bloc M donne un 
70 cryptogramme C k I'aide d'un exposant "e" qui est accessible au public: 

C = M e Mod(n) 

ou Mod(n) indique que I'opeVation est effectu^e modulo "n". 
75 Pour dSchiffrer le cryptogramme C, le destinataire doit connattre I'exposant secret "d" qui ve>ifie liquation: 

e.d Mod((p-1)(q-1)) = 1 

afin d'effectuer I'opeVation suivante: 

20 

C d Mod(n) = Mod(n) = M 

Ce systeme permet §ga!ement de signer les messages et d'authentifier les signatures. Un message M est 
signe* par l'6metteur en utilisant sa c\6 secrete "d": 

S = M d Mod(n) 

Le destinataire du message signg S peut alors authentifier cette signature en utilisant la cle* publique "e" de 
l'£metteur: 

30 

S e Mod(n) = M de Mod(n) = M 

UeVolution technologique des cartes k puces a 6\6 telle, qu'il est maintenant possible d'y impl£menter 
k faible coOt, tout en obtenant des performances satisfaisantes, des systemes cryptographiques k cle* 
35 publique, du genre RSA par exemple. Ainsi. de nombreux pays cherchent k cr6er des reseaux nationaux 
bases sur la technologie carte k puce pour des applications qui requierent un haut niveau de s^curite* telles 
que I'EDI (Echange de Donn£es Informatisges), le porte monnaie eMectronique, les systemes bancaires ou 
les systemes de sante\.. 

Or, lorsque le systeme cryptographique utilise est un systeme fort au sens ou nul ne peut dSchiffrer un 
40 message chiffre* k I'exception du propri&aire de la c\6 secrete, une partie de la capacity de ces reseaux 
pourrait etre d£tourn£e k des fins criminelles. La legislation en vigueur interdit done en principe le 
chiffrement de donne*es pour les applications civiles. 

Pour cela, il serait possible d'utiliser d'autres systemes cryptographiques limited aux fonctions de 
signature, tel que le systeme DSS (de I'anglais Digital Signature Standard) qui est en cours de normalisa- 
45 tion au Etats Unis, ou le systeme GQ 66cr\X dans le brevet francais n *2 620 248 du 7 septembre 1987. 

Toutefois, les systemes cryptographiques du genre RSA pr£sentent I'avantage d'offrir un tres haut 
niveau de s6curit6, d'etre largement mis en oeuvre dans de nombreux produits, et de pouvoir etre utilises, 
lorsque cela serait n£cessaire et autorise\ comme un systeme de chiffrement de donn£es. 

L'invention a done pour but de rendre compatibles la legislation en vigueur relative aux applications 
50 civiles de la carte & puce et I'utilisation d'un systeme cryptographique du genre RSA. 

Pour cela, un dispositif selon l'invention, tel que d^fini dans le paragraphe introductif, est caract€ris6 en 
ce qu'il comporte des moyens pour inhiber les fonctions de chiffrement et de d6chiffrement de messages 
propres k tout systeme du genre RSA. 

Dans un premier mode de realisation, un dispositif selon l'invention comporte des moyens pour 
55 comparer chaque message k signer k une structure pr6de*terminee selon laquelle tout message doit etre 
construit, et pour interdire la signature d'un message ne repondant pas k la dite structure. 

II est ainsi possible d'eViter qu'un fraudeur prgsente pour le signer un message chiffre* ayant un sens, et 
ne realise ainsi frauduleusement une operation de d£chiffrement. En effet, un message coherent chiffre* 



2 



EP 0 675 614 A1 



n'£tant ni pr£visible ni contrdlable, i! ne peut ripondre a ladite structure. 

De plus, un dispositif selon I'invention comporte alors avantageusement des moyens permettant, apres 
i'authentification de la signature d'un message signe, de comparer !e message obtenu avec la dite 
structure, et d'emettre une indication de resultat positif s'i! y a correspondance entre les deux, et n^gatif 
5 sinon. 

Ainsi, un message obtenu apres une telle verification de signature n'est jamais transmis vers I'exterieur 
lorsque Indication de resultat est negative, ce qui permet d'§viter qu'un fraudeur ne pnSsente pour une 
operation de verification de signature un message "en clair" afin de le chiffrer frauduleusement. 

Dans un second mode de realisation, un dispositif selon I'invention comporte des moyens pour 
10 appliquer une fonction de condensation a tout message avant de le signer, puis pour £mettre vers 
I'exterieur le message condense et signe ainsi que le message en clair, si necessaire. 

Ainsi, il est impossible d'utiliser frauduleusement la fonction de signature cbmme fonction de dechiffre- 
ment, puisque la fonction de condensation est preaiablement appliquee au message. 

De plus un dispositif selon 1'invention comporte alors avantageusement des moyens permettant, apres 
is I'authentification de la signature d'un message condense et signe, de comparer le message condense 
obtenu au message ernis en clair auquel la dite fonction de condensation a ete preaiablement appliquee, et 
d'emettre une indication de resultat positif s'il y a correspondance entre les deux, et negatif sinon. 

Ainsi, un message obtenu apres une telle verification de signature n'est pas transmis vers I'exterieur 
lorsque I'indication de resultat est negative. 
20 L'invention conceme egalement une carte a microcircuit utilisant un systeme d'echange securise de 
donnees du genre RSA et qui comporte un dispositif tel que decrit dans les paragraphes precedents. 

D'autres particularites, details et avantages de la presente invention seront mis en evidence dans la 
description qui va suivre en regard des dessins annexes qui sont relatifs a des exemples donn6s a titre non 
limitatif dans lesquels: 

25 - la figure 1 est une representation schematique d'un dispositif selon I'invention, 

- la figure 2 est une representation schematique de I'organisation de la memoire d'un dispositif selon 
I'invention, 

- la figure 3 est un organigramme d'un procede de fonctionnement d'un dispositif selon I'invention dans 
un premier mode de realisation, 

30 - la figure 4 est un organigramme d'un procede de fonctionnement d'un dispositif selon I'invention dans 
un second mode de realisation, 

- la figure 5 est une representation schematique d'une carte a puce comportant un dispositif selon 
I'invention. 

Un dispositif selon I'invention est realise a base d'un micro-contrdleur securise d'un point de vue 
35 physique tel, par exemple, que le 83C852 fabrique par Philips. Un tel micro-contrdleur 1 est represente sur 
la figure 1 et compose a partir d'un microprocesseur 2, d'une memoire vive 3, d'une memoire morte 4 qui 
contient notamment des instructions de fonctionnement pour la mise en oeuvre de I'invention, et d'une 
memoire EEPROM 5 pour contenir differentes donnees telles que la cie secrete de la carte, la cie publique 
d'un tiers avec lequel elle echange des informations... II est egalement compose d'une unite de calcul 6 
40 pour prendre en charge les operations necessaires a la realisation des fonctions de cryptographie, d'une 
unite 7 de gestion des entrees/sorties relive en outre a une entree I/O du micro-contrdleur 1. Les elements 
precites du micro-contrdleur 1 sont relies entre eux par un bus 8. 

Le microprocesseur 2 est d'autre part relie aux entrees R, C, Vr et Vdd du micro-contrdleur 1 , I'entree 
R etant destinee a recevoir un signal de reinitialisation du microprocesseur 2, I'entree C un signal d'horloge 
45 exterieur, i'entree Vr un signal de tension de reference et I'entree Vdd un signal de tension d'alimentation. 
Tout detail compiementaire peut etre trouve dans la notice du micro-contrdleur 83C852 precite. 
D'apres la figure 2, la memoire morte 4 contient en outre pour chaque fichier de donnees F1, F2,...Fn 
contenu dans la memoire EEPROM 5, un enregistrement comprenant le nom du fichier, le type des droits 
D1, D2...,Dn associes a ce fichier et un pointeur vers ce fichier dans la memoire EEPROM 5. Ainsi, pour 
50 effectuer une operation sur une information d'un fichier de donnees de la memoire EEPROM, il est 
necessaire de passer par le microprocesseur 2 qui va contrdler que ce type d'operation est autorise sur 
ces donnees. 

Par exemple, la memoire EEPROM comprend un fichier des cies publiques importees dans le dispositif 
et un fichier contenant la cie secrete du dispositif. Les droits associes a ces informations indiquent qu'elles 
55 ne sont pas lisibles de I'exterieur. De plus, selon I'invention, le fichier des cles importees dispose d'un droit 
qui limite 1'acces a ses donnees aux operations d'authentification de signature. 

C'est cette organisation de la memoire qui assure la protection des informations contenues dans le 
dispositif. 
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Dans un premier mode de realisation du dispositif selon rinvention, tout message en clair Mo doit 
repondre k une structure pr6d6finie. Dans I'exemple d4crit par la suite, il a et6 choisi d'attribuer une valeur 
particuliere aux 64 elements binaires de poids fort de chaque message Mo (la taille des messages trails 
par le systeme RSA etant, dans cet exemple de realisation, prise egale k 512 elements binaires). Ces 64 
5 £l6ments binaires predefini s sont enregistr^s dans la me* moire EEPROM 5. De fagon k faci liter le repeVage 
d'une telle structure, il est inte>essant de lui donner une forme re*guliere telle par exemple que "00....0" ou 
ou "0101...01". 

Toutefois on peut egalement choisir d'imposer une redondance connue k chaque message Mo, par 
exemple en r£petant plusieurs fois le message ou certaines de ses parties. 
io La figure 3 donne un organigramme d'un procede de.fonctionnement du dispositif selon rinvention dans 
ce premier mode de realisation, les instructions correspondantes etant contenues dans la memoire morte 4 
du micro-controleur 1 . 

La signification des d iff events blocs de cet organigramme est donn£e ci-dessous. 

- case K1 : le microprocesseur 2 attend qu'une demande arrive sur le port I/O du micro-controleur 1 . Le 
75 contenu de ces demandes est defini dans les documents ISO/I EC 7816-3 et 7816-4, 1993. Elles 

comportent en outre un champ indiquant le type de I'instruction k effectuer (un chargement de cie 
publique dans le fichier des cies importers de la memoire EEPROM 5, une signature, une authentifi- 
cation ou une verification de signature par exemple), et un champ comportant les donnees k traiter. 
Des la reception d'une demande, le procede passe k la case K2. 
20 - case K2: test permettant de determiner s'il s'agit d'une instruction de chargement de c!6 
pubiique. Si c'est le cas, ie procede se poursuit k la case K3. Sinon, il passe k la case K4. 

- case K3: la cie publique passee dans le champs donnee de Tinstruction est enregistree dans le fichier 
des cies importees de la memoire EEPROM 5. Puis le procede reprend k la case K1. 

- case K4: test permettant de determiner s'il s'agit d'une Instruction de signature. Dans ce cas le 
25 procede continue k la case K5; sinon, il passe k la case K7. 

- case K5: test de la structure du message Mo passe en parametre de 1'instruction. Si ses 64 elements 
binaires de poids fort correspondent au motif predefini enregistre dans la memoire EEPROM 5, il 
s'agit bien d'un message en clair et il est possible de le signer sans crainte de fraude (('instruction de 
signature ne sera pas detournee pour realiser un dechiffrement frauduleux): le procede continue aiors 

30 k la case K6. Sinon, I'operation est refusee, un message d'erreur est transmis vers le terminal (il 

s'agit en fait d'un message de reponse tel que defini dans les documents precites, dont le champ 
"statut " code sur 2 octets definit le type de Perreur), puis le procede reprend k la case K1. 

- case K6: calcul de la signature Ms ■ (Mo) d Mod(n), et emission vers I'exterieur de ce message signe 
Ms. Puis le procede reprend k la case K1 . 

35 - case K7: test permettant de determiner s'il s'agit d'une instruction d'authentification de signature. 
Si c'est le cas, le procede se poursuit k la case K8. Sinon, il passe a la case K1 1 . 

- case K8: enregistrement dans la memoire vive du message signe Ms passe dans le champs donnees 
de 1'instruction, et de la cie publique "e" k utiliser qui est lue dans le fichier des cies importees de la 
memoire EEPROM 5. 

40 - case K9: calcul du message Mo' = (Ms) e Mod(n) 

- case K10: verification de la structure du message obtenu Mo' (case K101) en comparant ses 64 
elements binaires de poids fort au motif predefini qui est enregistre dans la memoire EEPROM 5. Au 
cas oD il n'y a pas correspondance entre les deux, une indication de resultat negatif est emise vers 
I'exterieur k la case K103 (son format est identique k celui du message d'erreur de la case K5). Et au 

45 cas ou il y a correspondance, le message Mo' est enregistre dans la memoire vive 3, et une 

indication de resultat positif est emise vers I'exterieur k la case K102 (il s'agit egalement d'un 
message de reponse tel que defini dans les documents precites, dont le champ "statut " code sur 2 
octets indique qu'il n'y a pas d'erreur, et dont le champ "donnees" contient, si necessaire le message 
authentifie). Puis le procede reprend k la case K1 . 

so - case K11: test permettant de determiner s'il s'agit d'une Instruction de verification de signature. 
Dans ce cas le procede continue k la case K12; sinon il passe k la case K13. 

- case K12: comparaison du message en clair, regu dans le champs de donnees de I'instruction, avec 
le message Mo' enregistre dans la memoire vive 3 (case K121). S'ils sont identiques, une indication 
de resultat positif est emise vers I'exterieur (case K122). Sinon, c'est une indication de resultat negatif 

55 qui est emise (case K123). Puis, le procede reprend k la case K1. 

- case K13: traitement d'autres types d'instructions qui ne font pas partie du cadre de la presente 
invention et qui ne sont done pas decrites ici. Puis retour k la case K1 . 
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Ce premier mode de realisation, qui a I'avantage d'etre tres simple, s'applique au cas ou I'identite du 
correspondant est connue. II est done particulierement bien adapts pour certaines applications dont 
Putiiisation finale est tres bien d6termine*e. 

Dans un second mode de realisation du dispositif salon I'invention, une fonction de condensation est 
5 appliqu£e a tout message avant de le signer. De telles fonctions sont d£crites dans 1'article du 15 mars 
1988 intitule "Comment utiliser les fonctions de condensation dans la protection des donnees" public dans 
le cadre du colloque SECURICOM tenu a Paris en 1988. Une proprie*te* essentielle d'une telle fonction est 
que, dans la pratique, elle n'est pas inversible, et qu'il est impossible de trouver un autre message qui 
donne le meme resultat. 

70 La figure 4 donne un organigramme d'un procede de fonctionnement du dispositif seion I'invention dans 
ce second mode de realisation, les instructions correspondantes etant contenues dans la memoire morte 4 
du micro-controleur 1 . 

La signification des diffe rents blocs de cet organigramme est donne e ci-dessous. 

- case K21: le microprocesseur 2 attend qu'une demande arrive sur le port I/O du micro-controleur 1. 
75 Le procede passe ensuite immediatement a la case K22. , 

- case K22: test permettant de determiner s'il s'agit d'une instruction de chargement de cie 
publique. Si e'est le cas, le procede se poursuit a la case K23. Sinon, il passe a la case K24. 

" case K23: la cie publique passee dans le champs donnee de rinstruction est enregistree dans le 
fichier des cies importees de la memoire EEPROM 5. Puis le procede reprend a la case K21. 
20 - case K24: test permettant de determiner s'il s'agit d'une instruction de signature. Dans ce cas le 
procede continue a la case K25; sinon, il passe a la case K28. 

- case K25: application de la fonction de condensation H au message Mo a signer qui a ete* passe en 
parametre de I'instruction. 

- case K26: le message H(Mo) ainsi obtenu est condense. Or le systeme RSA traite, dans cet exemple, 
25 des messages d'une longueur fixe de 512 elements binaires. II est done necessaire completer le 

message H(Mo), par ajout d'un motif Z pr^d^ftni par exemple (qui est enregistre dans la memoire 
EEPROM 5), de facon a le ramener a une longueur de 512 elements binaires. Soit {M' = H(Mo)HZ} le 
message ainsi obtenu (ou le signe II indique {'operation de concatenation). 

- case K27: calcul de la signature Ms = (M') d Mod(n), et emission vers I'exterieur de ce message signe 
30 Ms. Puis le procede reprend a la case K1. 

- case K28: test permettant de determiner s'il s'agit d'une instruction d'authentification de signatu- 
re. Si e'est le cas, le procede se poursuit a la case K29. Sinon, il passe a la case K32. 

- case K29: enregistrement dans la memoire vive du message signe Ms passe dans le champs 
donnees de I'instruction, et de la cie publique "e" a utiliser qui est lue dans le fichier des cies 

35 importees de la memoire EEPROM 5. 

- case K30: calcul du message M" = (Ms) e Mod(n) 

- case K31: verification de la structure du message obtenu (case K311): il doit avoir la forme XjZ ou Z 
est le motif predefini qui est enregistre dans la memoire EEPROM 5. Si ce n'est pas le cas, une 
indication de resultat negatif est emise vers I'exterieur (case K313). Sinon, le message X est 

40 enregistre dans la memoire vive 3, et une indication de resultat positif est emise vers I'exterieur (case 

K312). Puis le procede reprend a la case K1. Cette authentification est un premier contrdle qui 
permet de s'assurer que le message Ms passe en parametre est effectivement un message signe par 
la cie secrete correspondant a la cie publique "e". 

- case K32: test permettant de determiner s'il s'agit d'une instruction de verification de signature. 
45 Dans ce cas le procede continue a la case K33; sinon il passe a la case K34. 

- case K33: comparison du message en clair regu dans le champs de donnees de rinstruction, auquel 
est prealablement appliquee la fonction de condensation H, avec le message X enregistre dans la 
memoire vive 3 (case K331). S'ils sont identiques, une indication de resultat positif est emise vers 
I'exterieur (case K332). Sinon, e'est une indication de resultat negatif qui est emise (case K333). Puis, 

50 le procede reprend a la case K1 . 

- case K34: traitement d'autres types destructions qui ne font pas partie du cadre de la presents 
invention et qui ne sont done pas decrites ici. Puis retour a la case K1. 

Bien que le premier mode de realisation apporte entiere satisfaction, il est parfois necessaire de 
disposer d'une protection accrue. Une telle protection accrue est obtenue dans ce second mode de 
55 realisation, plus sOr du point de vue de la signature puisqu'il met en oeuvre une fonction de condensation. II 
apporte de plus I'avantage supplemental de permettre d'utiliser le concept de certificat de cie publique 
(defini dans la recommandation X509 du CCITT), pour verifier I'origine de la cie publique a utiliser pour 
authentifier un message signe. 
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En effet, tout utilisateur A muni d'un dispositif selon I'invention dispose, enregistre dans sa mSmoire 
EEPROM, d'un certificat de cie publique C A , signe par I'autorite AS du systeme, et de paramfctres publics 
PP A detinis de la facori suivante: 

6 ' C A = [H(PP A )] dA3 MocKn^g) 

avec PP A - IdJeJValJnJ... 
ou 

w - PP A sont les paramdtres publiques de r utilisateur A, 

- H est la fonction de condensation, 

- ld A est un identifiant de I'utilisateur A, 

- Val A est la date de validity de la cie publique e A de I'utilisateur A, 

- les points de suspension indiquent que d'autres paramfctres peuvent Sventuellement etre pris en 
75 compte, 

- n A et n AS sont les modulo de I'utilisateur A et de I'autorite AS, 

- et d AS est la cie secrete de I'autorite AS. 

Ainsi lorsque I'utilisateur A envoie un message signe a I'utilisateur B, il lui envoie egaiement ses 
paramfctres publiques PP A en clair et son certificat de cie publique C A . L'utilisateur B est alors en mesure 
20 d'authentifier le certificat de cie publique C A de I'utilisateur A en appliquant la procedure suivante: 

- il applique la fonction de condensation H aux paramfctres publiques PP A , 

- il calcule: 



25 T = C K e *> MocKn^) 

ou e AS est la cie publique de I'autorite AS, disponible de fagon sOre dans chaque dispositif, 

- puis il compare le message T obtenu a H(PP A ). S'il y a egalite, la cie publique e A de I'utilisateur A, et 
30 son modulo n A sont authentifi£s, et I'utilisateur B peut les utiliser pour authentifier un message signe 

tel que cela a 6\6 d^crit pr^c^demment. 
Cette procedure d'authentification de la c\6 publique d'un utilisateur A par un utilisateur B consists en 
fait a appliquer au certificat de c\6 publique C A la fonction d'authentification de signature dScrite ci-dessus, 
et aux paramfctres publiques PP A la fonction de verification de signature d^crite ci-dessus. 
35 Ce second mode de realisation du dispositif selon I'invention apporte done I'avantage supplements re 
de permettre de verifier I'authenticite des c\6s publiques des utilisateurs avant d'authentifier et de verifier 
les signatures. 

Dans un autre mode de realisation, la fonction de dechiffrement n'est autoris£e que pour certains 
utilisateurs. Pour cela, il suffit d'associer a chaque c\6 secrete un critere d'utilisation pour le dechiffrement 
40 limits a ces utilisateurs, et: 

- pour le premier mode de realisation, de rajouter a la case K10 t avant de tester la structure du 
message obtenu, un test sur la vaieur de ce critere d'utilisation, de telle sorte que la structure du 
message obtenu ne soit verifiee que si I'operation de dechiffrement est interdite. 

- pour le second mode de realisation, de mettre en place a la case K34 une instruction de 
45 dechiffrement, I'execution de cette instruction etant subordonnee a un test sur la nature du critere 

d'utilisation de la cie secr&te contenue dans le fichier cie secrete de la m^moire EEPROM 5. 
La figure 5 represente un systfcme d'echange de donnees comportant deux cartes a puce A et B munie 
chacune d'un dispositif selon I'invention tA et 1B. Les titulaires respectifs de ces deux cartes a puce 
communiquent par I'intermediaire d'un terminal CI. 
so Les systemes de sante constituent un exemple d'application pratique d'un tel systfcme: la carte 
personnelle du patient, constituee par la carte A, et celle du professionnel de sante qui traite le dossier du 
patient, qui est constituee par la carte B, echangent des informations par I'intermediaire du terminal C1, 
localise chez le medecin. v 

On donne en annexe un exemple de protocole d'echange entre ces trois elements, pour le second 
55 mode de realisation du dispositif selon I'invention (II, 12, 13 et 14 sont des indications de resultat positif ou 
negatif emise par la carte B vers le terminal C1 aprds chaque operation realisee). 

II va de soi que des modifications peuvent §tre apportees aux modes de realisation qui viennent d'etre 
decrits, notamment par substitution de moyens techniques equivalents, sans que Ton sorte pour cela du 
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cadre de la pr£sente invention. 



ANNEXE 



CARTE A 



TERMINAL CI 



CARTE B 



70 



75 



20 



25 



30 



35 



40 



signature Mo 
< 

envoi M gA 

demande C^, PP A 
<— 



Authentication C A 
> 

Indication II 
< 

Si II Verification PP A 
positive > 

Indication 12 
< 

Si 12 Authentication M gA 
positive — ' > 

Indication 13 
< 

Si 13 Verification M gA 
positive — > 

Indication I^ 
< 

FIN 



45 



Revendlcations 



so 1. Dispositif permettant de mettre en oeuvre, conformSment a un systeme d'e*change s^curise* de 
donn^es du genre RSA, des fonctions de signature de messages et d'authentification de signature pour 
des messages signed, 

caracteVise* en ce qu'il comporte des moyens pour inhiber les fonctions de chiffrement et de 
dSchiffrement de messages propres a tout systeme du genre RSA. 



55 



2. Dispositif selon la revendication 1 , caracteVise* en ce qu'il comporte des moyens pour comparer chaque 
message (Mo) a signer a une structure pnSde'termine'e selon laquelle tout message doit etre construit, 
et pour interdire la signature d'un message ne re>ondant pas a la dite structure. 
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3. Dispositif selon la revendication 2, caract^rise* en ce qu'il comports des moyens permettant, apres 
Tauthentificatlon de la signature d'un message signe* (Ms), de comparer le message obtenu (Mo') avec 
la dite structure, et d'Smettre une indication de rdsurtat positif s'i! y a correspondance entre les deux, et 
ne*gatif sinon. 

5 

4. Dispositif selon ta revendication 1, caracte>ise* en ce qu'il comporte des moyens pour appliquer une 
fonction de condensation (H) a tout message (Mo) avant de le signer, puis pour e*mettre vers PexteVieur 
le message condense* et signe* (Ms) ainsi que le message en clair (Mo), si ndcessaire. 

w 5. Dispositif selon la revendication 4, caracterise* en ce qu'il comporte des moyens permettant, apres 
rauthentification de la signature d'un message condense* et signe* (Ms), de comparer le message 
condense* obtenu (X) au message £mis en clair (Mo) auquel la dite fonction de condensation (H) a 6te* 
pr£alablement appliquee, et d'emettre une indication de resultat positif s'ii y a correspondance entre les 
deux, et nSgatif sinon. 

75 

6. Dispositif selon la revendication 5, caract^rise* en ce les dits moyens sont utilises pour mettre en 
oeuvre le concept de certtficat de cle* publique (C A ) et de parametres publiques (PP A ) afin authentifier 
les c\6s publiques regues (e A , nA). 

20 7. Dispositif selon Tune des revendications 1 a 6, caracteVise en ce qu'un critere d'utilisation est associe* a 
chaque cle* secrete pour permettre d'autoriser la fonction de dSchiffrement pour un nombre restreint 
d'utilisateurs. 

a Carte a microcircuit utilisant un systeme d'Schange sScurise' de donn^es du genre RSA, caracte>is6e 
25 en ce qu'elle comporte un dispositif selon Tune des revendications 1 a 7. 



8 




9 



EP 0 675 614 A1 




EP 0 675 614 A1 




BEST AVAILABLE COPY 

11 



Office europeen 
des brevets 



RAPPORT DE RECHERCHE EUROPEENNE 



Nuaero de la demanda 

EP 95 20 0701 



DOCUMENTS CONSIDERES GOMME PERTINENTS 



Categoric 



Citation da document avee mdkation, en cms de besom, 



(XASSEMENT DE LA 
DEMANDE (lDtCL6) 



PROCEEDINGS OF C0MPC0N '91 - 36th IEEE 
COMPUTER SOCIETY INTERNATIONAL CONFERENCE 
25 February - 1 March 1991, San Francisco 
NEW YORK (US) 
pages 189-194, 
J.BIDZOS: 

"THREATS TO PRIVACY AND PUBLIC KEYS FOR 
PROTECTION" 

* page 190, colonne de gauche, ligne 21 - 
page 192, colonne de gauche, ligne 2 * 

* page 193, colonne de gauche, ligne 26 - 
ligne 35 * 

DATA COMMUNICATIONS, 

vol. 22, no. 11, AoGt 1993 NEW YORK US, 

pages 53-58, XP 000383974 

S.SALAMONE CLINTON'S CLIPPER: CAN IT 

KEEP A SECRET? 1 

* page 53, colonne de droite, ligne 5 - 
ligne 17 * 

* voir le tableau en bas de page 53 * 

* page 56, colonne de gauche, ligne 13 - 
ligne 38 * 

* page 56, colonne du milieu, ligne 7 - 
colonne de droite, ligne 7 * 

* page 56, colonne de droite, ligne 19 - 
page 58, colonne du milieu, ligne 15 * 

IEEE SPECTRUM, 

vol. 29, no. 8, Aout 1992 NEW YORK US, 
pages 29-35, XP 000311977 
J.A.ADAM 'CRYPTOGRAPHY = PRIVACY? 1 

* page 31, colonne du milieu, ligne 46 - 
colonne de droite, ligne 33 * 

* page 33, colonne du milieu, ligne 14 - 
ligne 24 * 

* page 33, colonne de droite, ligne 7 - 
page 35, colonne du milieu, ligne 5 * 



rapport a ete eiabti pour toutes les revendkations 



1,8 



H04L9/32 



DO MAIN ES TECHNIQUES 
RECHEXCHES (lata.*) 



H04L 



1.8 



LA HAYE 



D4a#atM*«aatf*lifl 

4 Jul llet 1995 



Lydon, M 



CATEGOPJE DES DOCUMENTS CITES 

X : partkuUertment pertinent i Inl seal 

Y : particuUeranent pertinent en combl nelson avec ua 

antra document de la nene categoric 
A : anfere-ptaa techrjologiaM 

O : divulgation noo-ecrtte 

p . - 



T : tbeorie ou priadpc a la ease de finvention 
E : document de brevet anterleur, mais publil ft la 

date da depflt oo aprts cette date 
D : dtt dans la demaada 
L : dtft poor d'antras ralsoas 

iTntembre de la "meraTranSne, document 



tffcST AVAILABLE COPY 



